Exemple de SCP pour AWS Resource Access Manager - AWS Organizations
Empêcher le partage externe Autoriser des comptes spécifiques à partager uniquement des types de ressources spécifiés Empêcher le partage avec des organisations ou des unités d'organisation (UO) Autoriser le partage uniquement avec des utilisateurs et des rôles IAM spécifiés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple de SCP pour AWS Resource Access Manager

Empêcher le partage externe

L'exemple suivant SCP empêche les utilisateurs de créer des partages de ressources qui autorisent le partage avec des utilisateurs et des rôles IAM qui ne font pas partie de l'organisation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Autoriser des comptes spécifiques à partager uniquement des types de ressources spécifiés

La politique SCP suivante autorise les comptes 111111111111 et 222222222222 à créer des partages de ressources partageant des listes de préfixes et à associer des listes de préfixes à des partages de ressources existants.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyNamedAccountsCanSharePrefixLists",
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEquals": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Empêcher le partage avec des organisations ou des unités d'organisation (UO)

La politique SCP suivante empêche les utilisateurs de créer des partages de ressources qui partagent des ressources avec un organisation ou des unités d'organisation AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Autoriser le partage uniquement avec des utilisateurs et des rôles IAM spécifiés

L'exemple de SCP suivant permet aux utilisateurs de partager des ressources uniquement avec l'organisation o-12345abcdef, l'unité d'organisation ou-98765fedcba et le compte 111111111111.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "ram:Principal": [
                        "arn:aws:organizations::123456789012:organization/o-12345abcdef",
                        "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}